Política de correção de bugs de segurança
Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.
Escopo
Esta política descreve como e quando as vulnerabilidades de segurança são resolvidas nos produtos.
Objetivos de nível de serviço (SLO) de atualização de segurança
A Atlassian define Objetivos de Nível de Serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade de segurança e no produto afetado. As correções de segurança nos produtos seguem os cronogramas a seguir:
Objetivos de resolução acelerada
Os cronogramas se aplicam a todos os produtos baseados em nuvem, software e sistemas da Atlassian ou de terceiros que usam a infraestrutura da Atlassian. Eles também se aplicam ao Jira Align (tanto na versão de nuvem quanto na autogerenciada).
- Vulnerabilidades de gravidade crítica devem ser corrigidas no produto no prazo de 10 dias após a verificação
- Vulnerabilidades de gravidade alta devem ser corrigidas no produto no prazo de 28 dias após a verificação
- Vulnerabilidades de gravidade média devem ser corrigidas no produto no prazo de 84 dias após a verificação
- Vulnerabilidades de gravidade baixa devem ser corrigidas no produto no prazo de 175 dias após a verificação
Cronogramas de Resolução Estendida
Os cronogramas são válidos para todos os produtos autogerenciados da Atlassian. O produto autogerenciado é instalado pelo cliente nos sistemas que ele gerencia. Esse produto inclui aplicativos móveis e o Data Center da Atlassian.
- Vulnerabilidades de gravidade crítica, alta e média devem ser corrigidas no produto no prazo de 90 dias após a verificação
- Vulnerabilidades de gravidade baixa devem ser corrigidas no produto no prazo de 180 dias após a verificação
Vulnerabilidades críticas
Quando vulnerabilidades de segurança críticas forem descobertas pela Atlassian ou relatadas por terceiros, a Atlassian vai:
- Para produtos na nuvem, a gente vai lançar a nova versão corrigida o mais rápido possível
- Para produtos autogerenciados, a gente vai:
- lançar uma versão com a atualização de segurança para as funções afetadas do produto
- lançar uma nova versão para as funções afetadas do produto no cronograma de lançamento
- lançar uma versão com a atualização de segurança para todas as versões LTS suportadas do produto afetado, conforme a Política de término do suporte da Atlassian.
Produto | Política de back port | Exemplo |
---|---|---|
Jira Software Server e Data Center Jira Core Server e Data Center Jira Service Management Server e Data Center (antes chamado Jira Service Desk) | Lançar novas atualizações de segurança para:
| Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:
|
Confluence Server e Data Center | Lançar novas atualizações de segurança para:
| Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:
|
Bitbucket Server e Data Center | Lançar novas atualizações de segurança para:
| Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:
O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug. |
Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do função. | Se uma atualização de segurança crítica do Bamboo for desenvolvida em 1º de janeiro de 2020, as seguintes novas versões de atualização de segurança devem ser desenvolvidas:
|
Para Crowd, Fisheye e Crucible, a versão com a atualização de segurança vai ser lançada para a versão mais recente do produto.
Exemplos de correções de vulnerabilidades críticas de produtos autogerenciados:
Se a correção de uma vulnerabilidade crítica foi desenvolvida em 1º de fevereiro de 2024, por exemplo, as seguintes versões receberiam a atualização de segurança:
Produto | Exemplo |
---|---|
Jira Software | Exemplo Jira Software 9.13.x, pois 9.13.0 é a versão de funções mais recente |
Exemplo Jira Software 9.12.x, pois 9.12.0 é a Versão de Suporte de Longo Prazo mais recente | |
Exemplo Jira Software 9.4.x, pois 9.4.0 é a versão de suporte de longo prazo anterior | |
Jira Service Management | Exemplo Jira Service Management 5.13.x, pois 5.13.0 é a versão de funções mais recente |
Exemplo Jira Service Management 5.12.x, pois 5.12.0 é a Versão de Suporte de Longo Prazo | |
Exemplo Jira Service Management 5.4.x, pois 5.4.0 é a segunda versão de suporte de longo prazo suportada mais recente | |
Confluence | Exemplo Confluence 8.7.x, pois 8.7.0 é a versão de funções mais recente |
Exemplo Confluence 8.5.x, pois 8.5.0 é a Versão de Suporte de Longo Prazo mais recente | |
Exemplo Confluence 7.19.x pois 7.19.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo | |
Bitbucket | Exemplo Bitbucket 8.17.x, pois 8.17.0 é a versão de funções mais recente |
Exemplo Bitbucket 8.9.x, pois 8.9.0 é a Versão de Suporte de Longo Prazo mais recente | |
Exemplo Bitbucket 7.21.x pois 7.21.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo | |
Bamboo | Exemplo Bamboo 9.5.x, pois 9.5.0 é a versão de funções mais recente |
Exemplo Bamboo 9.2.x, pois 9.2.0 é a Versão de Suporte de Longo Prazo mais recente | |
Crowd | Exemplo Crowd 5.3.x pois 5.3.0 é a versão de funções mais recente |
Fisheye/Crucible | Exemplo Fisheye/Crucible 4.8.x, pois 4.8.0 é a versão de funções mais recente |
Nenhuma outra versão do produto receberia novas atualizações de segurança.
Upgrades frequentes garantem a segurança das instâncias do produto. É recomendado usar a versão mais recente com a atualização de segurança para as funções ou a versão LTS do produto.
Vulnerabilidades não críticas
Quando itens de segurança de gravidade Alta, Média ou Baixa forem descobertos, a Atlassian vai incluir uma atualização de segurança nos objetivos de nível de serviço listados no início deste documento. A correção também pode ser adaptada para Versões de Suporte de Longo Prazo, se possível. A viabilidade do backport depende de dependências complexas, mudanças arquitetônicas, compatibilidade, entre outros fatores.
Você deve fazer o upgrade das instalações quando sair uma atualização de segurança nova para garantir que as correções de segurança mais recentes foram implementadas.
Outras informações
O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.
As políticas da Atlassian são sempre avaliadas com base no retorno dos clientes. Eventuais atualizações e alterações vão ser apresentadas nesta página.